AI Sigil Logo
Contact Us
Retour à tous les articles

Gouvernance de l’IA : Transparence, Éthique et Gestion des Risques à l’Ère de l’IA

A shield symbolizing protection against unregulated AI practices.
L’intelligence artificielle transforme rapidement notre monde, présentant des opportunités sans précédent ainsi que des défis complexes. À mesure que les modèles d’IA deviennent de plus en plus puissants et omniprésents, les questions entourant leur développement et leur déploiement responsables sont primordiales. Cette analyse se penche sur les aspects cruciaux de la gouvernance de l’IA, explorant les engagements spécifiques en matière de transparence, de développement éthique et de gestion robuste des risques, tels qu’ils sont décrits dans un cadre proposé. Elle examine les principes qui façonnent ce cadre, les garanties nécessaires pour les modèles systémiquement importants, et les étapes essentielles pour assurer la responsabilité et la sécurité tout au long du cycle de vie de l’IA.

Quels sont les principaux engagements du cadre concernant la transparence, la documentation des modèles et le droit d’auteur pour les modèles d’IA à usage général ?

Cette section du code de conduite pour l’IA à usage général aborde la transparence, la documentation des modèles et le respect du droit d’auteur pour les modèles d’IA à usage général (GPAI). Elle décrit les engagements et les mesures spécifiques qui visent à s’aligner sur le chapitre V de la loi sur l’IA.

Transparence et Documentation

Engagement I.1 : Documentation Les fournisseurs s’engagent à maintenir à jour la documentation des modèles, conformément à l’article 53, paragraphe 1, points a) et b), de la loi sur l’IA. Cela comprend la fourniture d’informations pertinentes aux fournisseurs en aval qui intègrent le modèle GPAI dans leurs systèmes d’IA et au Bureau de l’IA sur demande.

Principaux aspects de cet engagement :

  • Un formulaire de documentation de modèle convivial simplifie la conformité et garantit une documentation facile.
  • Le document précise clairement si chaque élément répertorié est destiné aux fournisseurs en aval, au Bureau de l’IA ou aux autorités nationales compétentes.
  • Les informations destinées au Bureau de l’IA ou aux autorités nationales compétentes ne sont fournies que sur demande, en indiquant la base juridique et la finalité.
  • Les informations destinées aux fournisseurs en aval doivent être mises à leur disposition de manière proactive.
  • Les fournisseurs sont tenus de garantir la qualité, la sécurité et l’intégrité des informations documentées.

Exemption : Ces mesures ne s’appliquent pas aux fournisseurs de modèles d’IA open source qui remplissent les conditions spécifiées à l’article 53, paragraphe 2, de la loi sur l’IA, à moins que ces modèles ne soient classés comme modèles GPAI présentant un risque systémique.

Respect du droit d’auteur

Engagement I.2 : Politique en matière de droit d’auteur Pour se conformer au droit de l’Union en matière de droit d’auteur et de droits voisins en vertu de l’article 53, paragraphe 1, point c), de la loi sur l’IA, les signataires s’engagent à élaborer, à tenir à jour et à mettre en œuvre une politique en matière de droit d’auteur.

Les éléments de cet engagement sont :

  • Élaboration d’une politique visant à se conformer au droit de l’Union en matière de droit d’auteur et de droits voisins.
  • Identification et respect des réserves de droits exprimées en vertu de l’article 4, paragraphe 3, de la directive (UE) 2019/790.
  • Adoption de mesures pour les modèles GPAI mis sur le marché de l’UE, notamment :
  • Reproduction et extraction uniquement de contenu protégé par le droit d’auteur accessible légalement lors de l’exploration du Web.
  • Identification et respect des réserves de droits.
  • Obtention d’informations adéquates sur le contenu protégé qui n’est pas exploré sur le Web par le signataire.
  • Désignation d’un point de contact et possibilité de dépôt de plaintes.
  • Mise en œuvre de mesures visant à atténuer le risque de production de résultats contrefaisant au droit d’auteur.

Ce code de conduite vise à aider les fournisseurs d’IA à se conformer efficacement à leurs obligations en vertu de la loi sur l’IA, en garantissant un niveau élevé de transparence et en respectant les lois sur le droit d’auteur au sein de l’UE.

Quels sont les principes fondamentaux qui guident le développement du Code de Conduite, et comment influencent-ils sa structure et son contenu ?

Le Code de Conduite pour l’IA à Usage Général vise à guider le développement et le déploiement des modèles d’IA dans le cadre de la loi européenne sur l’IA. Voici une analyse des principes fondamentaux qui façonnent sa structure et son contenu :

Alignement sur les Valeurs de l’UE

Le Code donne la priorité au respect des principes et des valeurs fondamentales de l’UE, garantissant l’alignement sur la Charte des droits fondamentaux, le traité sur l’Union européenne et le traité sur le fonctionnement de l’Union européenne.

Loi sur l’IA et Harmonisation Internationale

Le Code facilite l’application correcte de la loi sur l’IA, tout en tenant compte des approches internationales, y compris les normes et les mesures élaborées par les instituts de sécurité de l’IA et les organismes de normalisation, conformément à l’article 56, paragraphe 1, de la loi sur l’IA.

Proportionnalité aux Risques

Le Code lie la rigueur des engagements et des mesures au niveau de risque, exigeant une action plus rigoureuse face aux niveaux de risque plus élevés ou au potentiel de préjudice grave. Les stratégies spécifiques comprennent :

  • Mesures Ciblées : Se concentrer sur des mesures spécifiques et réalisables plutôt que sur des indicateurs larges et moins définis.
  • Différenciation des Risques : Adapter les stratégies d’évaluation et d’atténuation des risques aux différents types de risques, aux scénarios de déploiement et aux méthodes de distribution. Par exemple, l’atténuation des risques systémiques pourrait faire la distinction entre les risques intentionnels et non intentionnels.
  • Mises à Jour Dynamiques : Se référer à des sources d’information dynamiques que les fournisseurs peuvent être tenus de surveiller dans leur évaluation et atténuation des risques, notamment les bases de données d’incidents, les normes consensuelles, les registres de risques actualisés, les cadres de gestion des risques à la pointe de la technologie et les orientations du Bureau de l’IA.

Pérennisation

Reconnaissant le rythme rapide des progrès technologiques, le Code vise à rester pertinent en :

  • Permettant des Mises à Jour Rapides : Facilitant l’adaptation et les mises à jour rapides pour refléter les développements technologiques et industriels.
  • Faisant Référence à des Informations Dynamiques : Pointant vers des sources d’information dynamiques pour l’évaluation et l’atténuation des risques, comme les cadres de gestion des risques à la pointe de la technologie.
  • Traitant des Modèles Émergents : Envisageant des mesures supplémentaires pour des modèles spécifiques d’IA à usage général, y compris ceux utilisés dans les systèmes d’IA agentiques.

Soutien aux PME

Le Code reconnaît les défis particuliers auxquels sont confrontées les petites et moyennes entreprises (PME) et les startups, et tient compte de leurs contraintes. Les mesures doivent permettre des méthodes de conformité simplifiées pour les PME qui ne disposent pas des ressources des développeurs d’IA plus importants.

Soutien à l’Écosystème

Le Code encourage la coopération et le partage des connaissances entre les parties prenantes par le biais de :

  • Partage de Ressources : Permettre le partage de l’infrastructure de sécurité de l’IA et des meilleures pratiques entre les fournisseurs de modèles.
  • Engagement des Parties Prenantes : Encourager la participation de la société civile, du monde universitaire, des tiers et des organisations gouvernementales.

Innovation en Matière de Gouvernance et de Gestion des Risques

Le Code encourage l’innovation en reconnaissant les progrès en matière de gouvernance de la sécurité de l’IA et de collecte de preuves. Les approches alternatives à la sécurité de l’IA qui démontrent des résultats égaux ou supérieurs avec une charge moindre doivent être reconnues et soutenues.

french

Comment les fournisseurs de modèles d’IA à usage général présentant un risque systémique doivent-ils définir et mettre en œuvre un cadre de sécurité et de protection ?

Pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique (MAGRIS), la mise en place d’un cadre de sécurité et de protection robuste est primordiale pour le respect de réglementations telles que l’AI Act. Ce cadre n’est pas simplement un ensemble de lignes directrices, c’est un système dynamique conçu pour évaluer, atténuer et gérer les risques associés aux modèles d’IA potentiellement dangereux.

Composantes essentielles du cadre

Le cadre doit détailler l’évaluation des risques systémiques, l’atténuation et les mesures de gouvernance destinées à maintenir les risques systémiques découlant des MAGRIS à des niveaux acceptables. Le cadre doit comprendre les éléments suivants :

  • Critères d’acceptation des risques systémiques : Références prédéfinies permettant de déterminer si les risques systémiques sont acceptables. Ces critères doivent :
    • Être définis pour chaque risque systémique identifié.
    • Inclure des niveaux mesurables de risque systémique.
    • Préciser les niveaux de risque inacceptables, en particulier sans atténuation.
    • S’aligner sur les meilleures pratiques des organismes internationaux ou sur les orientations du Bureau IA.
  • Procédures d’évaluation et d’atténuation des risques systémiques : Décrire comment l’entreprise évaluera systématiquement les risques à différents moments du cycle de vie du modèle, notamment avant le déploiement.
  • Prévisions : Pour chaque niveau de risque systémique dépendant de capacités spécifiques du modèle, indiquer des estimations de calendrier quant au moment où ils prévoient raisonnablement avoir développé un MAGRIS qui possède ces capacités, si de telles capacités ne sont pas encore en la possession d’aucun des modèles du signataire déjà disponibles sur le marché, afin de faciliter la préparation d’atténuations appropriées des risques systémiques.
  • Atténuation technique des risques systémiques : Les signataires doivent documenter dans le cadre les atténuations techniques des risques systémiques, y compris les mesures d’atténuation de la sécurité, qui sont destinées à réduire le risque systémique associé au niveau de risque systémique pertinent.
  • Atténuations des risques liés à la gouvernance : Détail des structures de gouvernance, des mécanismes de surveillance et des cadres de responsabilité pour la gestion des risques systémiques.

Mise en œuvre pratique et reporting

La mise en œuvre du cadre implique un processus continu d’évaluation, d’adaptation et de reporting. Les principales considérations comprennent :

  • Évaluations régulières de l’adéquation : Déterminer si le cadre lui-même est efficace pour évaluer et atténuer les risques systémiques.
  • Rapports de sécurité et de protection des modèles : Ces rapports doivent documenter les résultats de l’évaluation des risques, les stratégies d’atténuation et les justifications des décisions de déploiement, soumises au Bureau IA.
  • Transparence et contribution externe : le cadre doit tenir compte des contributions des acteurs externes à sa prise de décision concernant les risques systémiques.
  • Signalement des incidents graves : Mettre en œuvre des processus de suivi, de documentation et de signalement au Bureau IA des informations pertinentes concernant les incidents graves tout au long du cycle de vie du modèle et des éventuelles mesures correctives pour y remédier, avec une allocation de ressources adéquate à ces processus par rapport à la gravité de l’incident grave et au degré d’implication de leur modèle.
  • Transparence publique : Publier des informations pertinentes pour la compréhension publique des risques systémiques découlant de leurs MAGRIS, lorsque cela est nécessaire pour permettre efficacement l’évaluation et l’atténuation des risques systémiques.

Défis et nuances

Naviguer dans ce paysage nécessite un examen attentif de plusieurs facteurs :

  • Proportionnalité : L’évaluation et l’atténuation des risques doivent être proportionnées aux risques spécifiques présentés par le modèle.
  • Se tenir au courant des dernières technologies : Mettre en œuvre des mesures d’atténuation de la sécurité technique de pointe qui permettent de mieux atténuer les risques systémiques inacceptables, y compris les meilleures pratiques générales en matière de cybersécurité, afin d’atteindre au moins l’objectif de sécurité RAND SL3.
  • Collaboration : Le partage d’outils, de pratiques et d’évaluations avec d’autres organisations peut améliorer la sécurité globale et réduire la duplication des efforts.
  • Équipes d’évaluation de modèles multidisciplinaires : S’assurer que toutes les équipes d’évaluation de modèles possèdent l’expertise nécessaire pour contribuer à l’évaluation du modèle en vue de l’évaluation des risques systémiques.

Considérations éthiques

Enfin, les fournisseurs NE doivent PAS exercer de représailles contre tout travailleur fournissant des informations sur les risques systémiques découlant des MAGRIS des signataires au Bureau IA ou, le cas échéant, aux autorités nationales compétentes, et informer au moins une fois par an les travailleurs d’une boîte aux lettres du Bureau IA désignée pour recevoir ces informations, si une telle boîte aux lettres existe.

Quelles sont les étapes cruciales pour identifier, analyser et atténuer les risques systémiques tout au long du cycle de vie des modèles d’IA à usage général ?

Le projet de Code de conduite sur l’IA de l’UE, conçu pour guider la conformité à la loi sur l’IA, met l’accent sur une approche systématique de la gestion des risques systémiques associés aux modèles d’IA à usage général (GPAISRs). Voici une ventilation des étapes critiques, adaptées aux professionnels de la gouvernance de l’IA :

1. Établir un cadre de sûreté et de sécurité

Les fournisseurs de GPAISR doivent adopter et mettre en œuvre un cadre complet de sûreté et de sécurité. Ce cadre doit détailler l’évaluation des risques systémiques, les stratégies d’atténuation et les mesures de gouvernance conçues pour maintenir les risques dans des niveaux acceptables. Les éléments clés du cadre comprennent :

  • Critères d’acceptation des risques systémiques : Critères clairement définis et justifiés pour déterminer l’acceptabilité des risques systémiques, y compris des niveaux de risque mesurables.
  • Plans d’atténuation des risques : Descriptions détaillées des mesures d’atténuation techniques, de leurs limites et des plans d’urgence pour les scénarios où les mesures d’atténuation échouent.

2. Évaluation et atténuation des risques systémiques (tout au long du cycle de vie)

Effectuer des évaluations des risques systémiques aux moments opportuns tout au long du cycle de vie du modèle, en commençant pendant le développement. Ce processus implique plusieurs activités clés :

  • Planification du développement : Mettre en œuvre un cadre et commencer à évaluer/atténuer les risques lors de la planification d’un GPAISR, ou au plus tard 4 semaines après la notification au Bureau de l’IA.
  • Examens des étapes : Évaluer et atténuer les risques aux étapes documentées pendant le développement, par exemple après le réglage fin, l’extension de l’accès ou l’octroi de nouvelles fonctionnalités. Mettre en œuvre des procédures pour identifier rapidement les changements importants de risque.

3. Identification des risques systémiques

Sélectionner et caractériser davantage les risques systémiques découlant des GPAISR qui sont suffisamment importants pour justifier une évaluation et une atténuation plus poussées. Les considérations essentielles comprennent :

  • Respect de la taxonomie : Sélectionner les risques à partir d’une taxonomie définie des risques systémiques (par exemple, cyberattaque, risques CBRN, manipulation nuisible).
  • Planification de scénarios : Développer des scénarios de risques systémiques pour caractériser la nature et les sources. Ceux-ci doivent inclure les voies potentielles de préjudice et les utilisations abusives raisonnablement prévisibles.

4. Analyse des risques systémiques

Mener une analyse rigoureuse des risques systémiques identifiés, en estimant leur gravité et leur probabilité. L’analyse doit exploiter plusieurs sources et méthodes :

  • Estimations quantitatives et qualitatives : Utiliser des estimations quantitatives et qualitatives du risque, le cas échéant, ainsi que des indicateurs de risque systémique pour suivre les progrès vers les niveaux de risque.
  • Évaluations à la pointe de la technologie : Effectuer des évaluations pour évaluer adéquatement les capacités, les propensions et les effets des GPAISR, en utilisant un large éventail de méthodologies (par exemple, tests d’intrusion, benchmarks).
  • Informations indépendantes du modèle : Recueillir des informations provenant d’examens de la littérature, de données d’incidents historiques et de consultations d’experts.

5. Détermination de l’acceptation du risque

Comparer les résultats de l’analyse des risques systémiques aux critères d’acceptation des risques prédéfinis pour garantir la proportionnalité. Utiliser ces comparaisons pour éclairer les décisions concernant le développement, la mise sur le marché et l’utilisation. Si les risques sont jugés inacceptables :

  • Mettre en œuvre des mesures d’atténuation supplémentaires : Ou ne pas mettre un modèle à disposition sur le marché, le cas échéant.
  • Restreindre la commercialisation : Retirer ou rappeler un modèle du marché, le cas échéant.

6. Mesures d’atténuation de la sûreté et de la sécurité (techniques)

Mettre en œuvre des mesures d’atténuation techniques de pointe en matière de sûreté qui sont proportionnées aux risques systémiques, telles que : le filtrage des données d’entraînement, la surveillance des entrées/sorties, le réglage fin pour refuser certaines demandes et la mise en œuvre de garanties/outils de sécurité.
Plus précisément :

  • Mettre en œuvre les meilleures pratiques générales en matière de cybersécurité.
  • Mettre en œuvre des procédures pour évaluer et tester leur préparation en matière de sécurité contre les adversaires potentiels et réels. Cela comprend des outils tels que des examens de sécurité réguliers et des programmes de primes aux bogues.

7. Gouvernance et documentation

Plusieurs mesures de gouvernance sont essentielles pour gérer et superviser efficacement le processus :

  • Attribution claire des responsabilités : Définir et attribuer la responsabilité de la gestion des risques systémiques à tous les niveaux organisationnels.
  • Évaluations externes indépendantes : Obtenir des évaluations externes indépendantes des GPAISR avant de les mettre sur le marché.
  • Signalement des incidents graves : Mettre en place des processus pour suivre, documenter et signaler les incidents graves au Bureau de l’IA sans délai injustifié.
  • Rapports de modèle : Créer des rapports de modèle de sûreté et de sécurité détaillés documentant les évaluations des risques, les mesures d’atténuation et les justifications de la mise sur le marché.
  • Transparence publique : Publier des informations pertinentes pour la compréhension du public des risques systémiques.

En suivant diligemment ces étapes, les organisations peuvent mieux naviguer dans le paysage complexe de la gouvernance de l’IA et favoriser un écosystème d’IA plus responsable et digne de confiance.

Quels principes fondamentaux devraient guider la mise en œuvre d’outils et de bonnes pratiques pour l’évaluation des modèles de pointe et l’évaluation des risques systémiques pour tous les modèles ?

Le projet de code de pratique de l’Union européenne en matière d’IA, visant à fournir un modèle de conformité à la loi globale sur l’IA, met l’accent sur plusieurs principes fondamentaux pour la mise en œuvre de l’évaluation des modèles de pointe et de l’évaluation des risques. Ceux-ci s’appliquent spécifiquement aux modèles d’IA à usage général présentant un risque systémique (GPAISR), mais fournissent des éclaircissements précieux pour l’ensemble du développement de l’IA. Voici une analyse pour les professionnels de la legaltech :

Principes et valeurs de l’UE

Tous les outils et pratiques doivent démontrer qu’ils sont conformes aux droits et valeurs fondamentaux consacrés par le droit de l’UE, y compris la Charte des droits fondamentaux.

Alignement sur la loi sur l’IA et les approches internationales

L’évaluation des modèles et l’évaluation des risques doivent contribuer directement à la bonne application de la loi sur l’IA. Cela signifie :

  • Se référer aux normes et mesures internationales, telles que celles développées par les Instituts de sécurité de l’IA, conformément à l’article 56, paragraphe 1, de la loi sur l’IA.

Proportionnalité aux risques

La rigueur des mesures d’évaluation et d’atténuation doit être directement proportionnelle aux risques identifiés. Ce principe motive plusieurs actions clés :

  • Mesures plus strictes pour les niveaux de risque plus élevés ou les risques incertains de dommages graves.
  • Mesures spécifiques qui définissent clairement comment les fournisseurs doivent remplir leurs obligations.
  • Différenciation des mesures en fonction des types de risques, des stratégies de distribution, des contextes de déploiement et d’autres facteurs qui influencent les niveaux de risque.

Le Bureau de l’IA surveillera de manière proactive les mesures susceptibles d’être contournées ou mal spécifiées.

Pérennité

Compte tenu de l’évolution rapide de la technologie de l’IA, les outils et les pratiques doivent faciliter les mises à jour rapides à la lumière des avancées technologiques. Cela implique :

  • Se référer à des sources d’informations dynamiques, telles que les bases de données d’incidents, les normes de consensus, les registres des risques, les cadres de gestion des risques et les orientations du Bureau de l’IA, que les fournisseurs doivent surveiller.
  • Articuler des mesures supplémentaires pour des modèles GPAI spécifiques (par exemple, ceux utilisés dans les systèmes d’IA à agentique) selon les besoins de la technologie.

Proportionnalité à la taille du fournisseur

Les mesures doivent tenir compte de la taille et des ressources du fournisseur de modèle d’IA. La loi sur l’IA reconnaît la valeur et la nécessité de voies simplifiées vers la conformité pour les petites et moyennes entreprises (PME) et les startups.

Soutien et croissance d’une IA sûre et centrée sur l’humain

Le code est conçu pour favoriser la coopération entre les parties prenantes grâce à une infrastructure de sécurité partagée et à des bonnes pratiques. Les actions comprennent :

  • Partager l’infrastructure de sécurité et les meilleures pratiques
  • Encourager la participation de la société civile, des universités, des tiers et des organismes gouvernementaux.
  • Promouvoir la transparence entre les parties prenantes et accroître les efforts de partage des connaissances.

Innovation en matière de gouvernance de l’IA et de gestion des risques

Le code encourage les fournisseurs à innover et à faire progresser l’état de l’art en matière de gouvernance de la sécurité de l’IA. Les approches alternatives qui démontrent des résultats de sécurité égaux ou supérieurs doivent être reconnues et soutenues.

Engagement en faveur de la documentation et de la transparence

Les signataires du code s’engagent à établir et à tenir à jour une documentation du modèle, y compris des informations concernant le processus de formation et les données utilisées, qui soit accessible au public.

Quelles sont les exigences de gouvernance et de reporting que les fournisseurs de modèles d’IA à usage général présentant un risque systémique (GPAISRs) doivent respecter pour garantir la responsabilité et la transparence ?

Le code de pratique de la loi sur l’IA impose des obligations importantes en matière de gouvernance et de reporting aux fournisseurs de modèles d’IA à usage général présentant un risque systémique (GPAISRs) afin de favoriser la responsabilité et la transparence. Ces exigences sont conçues pour garantir que ces modèles, compte tenu de leurs capacités à fort impact, soient développés et déployés de manière responsable.

Rapports sur la sûreté et la sécurité des modèles

Une exigence fondamentale est la création d’un rapport sur la sûreté et la sécurité du modèle pour chaque GPAISR avant sa mise sur le marché. Ce rapport doit documenter :

  • Les résultats de l’évaluation et de l’atténuation des risques systémiques.
  • Les justifications des décisions de lancer le modèle.

Le niveau de détail requis dans le rapport sur le modèle doit être proportionnel au niveau de risque systémique que présente le modèle. Cela permet au Bureau de l’IA de comprendre comment le fournisseur met en œuvre son évaluation des risques systémiques et ses mesures d’atténuation. Le rapport doit définir les conditions dans lesquelles les justifications ayant permis de juger le risque systémique acceptable ne seraient plus valables.

Documentation de la conformité et de la gestion des risques

Au-delà du rapport sur le modèle, les GPAISR doivent méticuleusement documenter leur conformité à la loi sur l’IA et au code de pratique. Cette documentation comprend :

  • L’estimation de la conformité de leur modèle d’IA aux conditions de classification en tant que GPAISR.
  • Les méthodologies d’identification et de gestion des risques systémiques, notamment en ce qui concerne les sources de ces risques.
  • Les limitations et l’imprécision lors des tests et de la validation des risques systémiques.
  • Les qualifications et le niveau des équipes d’examen des modèles internes et externes.
  • La justification de l’acceptabilité du niveau des risques systémiques.
  • La manière dont les contraintes de sécurité et de sûreté sont satisfaites, gérées et respectées, ainsi que les mesures prises pour élaborer les procédures en place pour les surveiller.

Il est essentiel de conserver cette documentation pendant une période d’au moins douze mois et au-delà du retrait du modèle d’IA.

Transparence concernant le comportement prévu du modèle

Les rapports sur les modèles doivent également préciser le comportement prévu du modèle, par exemple :

  • Les principes que le modèle est conçu pour suivre.
  • La manière dont le modèle hiérarchise les différents types d’instructions.
  • Les sujets sur lesquels le modèle est censé refuser les instructions.

Cadres pour la sûreté et la sécurité

Les signataires doivent préparer et tenir à jour un cadre de sûreté et de sécurité qui détaille l’évaluation des risques systémiques, l’atténuation et les procédures de gouvernance. Ce cadre doit inclure des critères d’acceptation des risques systémiques qui :

  • Sont mesurables.
  • Définissent les niveaux de risque systémique liés aux capacités du modèle, aux résultats préjudiciables et aux estimations quantitatives des risques.
  • Identifient les déclencheurs et les conditions de risque systémique qui nécessiteront des mesures d’atténuation pour un risque systémique spécifique.

Les cadres doivent être continuellement améliorés, rapidement mis à jour et doivent refléter dynamiquement l’état actuel de l’art en matière d’IA.

Notifications au Bureau de l’IA

Les GPAISR sont tenus de notifier au Bureau de l’IA plusieurs événements clés :

  • Lorsque leur modèle d’IA à usage général remplit les critères de classification en tant que GPAISR.
  • Les mises à jour de leur cadre de sûreté et de sécurité.
  • Les résultats des évaluations d’adéquation.
  • La publication d’un rapport sur la sûreté et la sécurité du modèle.

Ces notifications sont nécessaires pour évaluer si le code est correctement suivi et pour garantir une conformité rapide.

Suivi et adaptation post-commercialisation

La gouvernance ne s’arrête pas aux rapports de pré-lancement ; les GPAISR doivent effectuer un suivi post-commercialisation pour recueillir des données réelles sur les capacités et les effets de leurs modèles. En cas de modifications importantes du système ou du paysage des risques systémiques, les fournisseurs doivent mettre à jour leurs rapports sur les modèles et, le cas échéant, réévaluer la situation, afin que le modèle reste conforme aux réglementations.

Évaluation externe et interne

Outre la surveillance interne, les processus d’évaluation des risques systémiques doivent inclure l’apport d’acteurs externes, y compris le gouvernement.

  • Lorsqu’un GPAISR est prêt à être mis sur le marché, le modèle doit faire l’objet d’une évaluation externe, pour tous les risques systémiques détectés, avant d’être mis sur le marché.
  • Après sa mise sur le marché, un GPAISR nécessite un programme de recherche fournissant aux modèles un accès API. Les accès doivent être accordés aux universitaires et aux équipes externes menant des travaux d’étude des risques systémiques et d’activités non commerciales.
  • Tout travail ou commentaire fourni par les universitaires et les équipes doit ensuite être utilisé pour mettre à jour le code et la documentation des GPAISR actuels.

Évaluation indépendante

Des évaluateurs externes doivent être utilisés pour s’assurer que les biais sont pris en compte dans le processus. Les évaluateurs doivent :

  • Posséder l’expérience du domaine appropriée pour évaluer et valider les risques systémiques.
  • Être techniquement compétents et compétents dans la validation des modèles.
  • Avoir mis en place des systèmes d’information internes et externes, qui sont activement testés et disposent d’un rapport à jour pour valider leur intégrité.

Non-représailles et gouvernance des risques

Les signataires sont tenus de ne prendre aucune forme de représailles contre les travailleurs qui pourraient partager des informations ou exprimer des préoccupations. Ils doivent disposer d’une infrastructure sûre en pratique pour permettre aux préoccupations d’être soulevées librement, en particulier auprès du Bureau de l’IA en tant que point de contact.

Quels sont les éléments essentiels pour un processus d’évaluation fonctionnel et indépendant d’un modèle d’IA ?

Alors que la date d’entrée en vigueur de l’AI Act approche, les professionnels de la legal-tech et les responsables de la conformité se concentrent sur les évaluations indépendantes des modèles. Que doivent internaliser les fournisseurs de modèles d’IA à usage général présentant un risque systémique (GPAISR) pour garantir un processus d’évaluation robuste ?

Évaluations Externes Indépendantes

Avant de mettre un GPAISR sur le marché, les fournisseurs doivent obtenir des évaluations indépendantes externes des risques systémiques, qui comprennent des évaluations des modèles, sauf si le modèle peut être démontré comme étant suffisamment sûr. Après la mise sur le marché, il est essentiel de faciliter les évaluations externes indépendantes exploratoires, y compris les évaluations des modèles. Cela souligne la nécessité d’une collaboration et d’une transparence.

Sélection des Évaluateurs Indépendants

Les fournisseurs de GPAISR doivent rechercher des évaluateurs qui :

  • Possèdent une expertise significative dans le domaine, en accord avec le domaine de risque évalué.
  • Possèdent les compétences techniques et l’expérience nécessaires pour effectuer des évaluations rigoureuses des modèles.
  • Maintiennent des protocoles de sécurité de l’information internes et externes robustes, adaptés au niveau d’accès accordé.

Fournir l’Accès et les Ressources

Les fournisseurs doivent fournir aux évaluateurs externes indépendants l’accès, les informations, le temps et les ressources nécessaires pour effectuer des évaluations efficaces des risques systémiques. Cela peut signifier l’accès à des capacités de réglage fin, à des outils d’inférence sûrs et à une documentation complète du modèle.

Maintenir l’Intégrité

Pour garantir la validité des évaluations externes indépendantes, ces évaluations doivent être réalisées sans l’influence inappropriée du fournisseur. Par exemple, les fournisseurs doivent éviter de stocker et d’analyser les entrées et sorties du modèle provenant des séries de tests sans autorisation explicite.

Faciliter l’Évaluation Post-Commercialisation

Les fournisseurs doivent faciliter la recherche externe exploratoire après la publication des modèles GPAISR, en mettant en œuvre un programme de recherche fournissant un accès API aux modèles avec et sans atténuation, en allouant des crédits API de recherche gratuits pour la recherche légitime et en contribuant à un régime de sphère de sécurité juridique et technique pour protéger les évaluateurs testant le modèle.

Considérations Importantes pour les PME

Les petites et moyennes entreprises (PME) confrontées à des difficultés pour se conformer aux normes de qualité ou pour coopérer avec les parties prenantes concernées doivent en informer le Bureau de l’IA et demander de l’aide pour trouver des moyens alternatifs appropriés de satisfaire aux exigences.

Transparence et Divulgation

Il est important de trouver un équilibre entre la transparence publique et le maintien de la sécurité en divulguant les mesures d’atténuation de la sécurité et les évaluations des modèles avec autant de détails que possible, tout en mettant en œuvre des occultations pour empêcher l’augmentation du risque systémique ou des informations économiques sensibles.

french

Comment une culture du risque saine peut-elle être favorisée au sein des organisations impliquées dans le développement et le déploiement de GPAISRs ?

Favoriser une culture du risque saine est essentiel pour les organisations qui développent et déploient des modèles d’IA à usage général avec risque systémique (GPAISRs). Selon le projet de code de pratique, cela implique plusieurs étapes interconnectées :

Définir et attribuer les responsabilités

Pour les activités concernant l’évaluation et l’atténuation des risques systémiques pour leurs GPAISRs, les signataires s’engagent à : (1) définir et attribuer clairement les responsabilités en matière de gestion des risques systémiques de leurs GPAISRs à tous les niveaux de l’organisation ; (2) allouer des ressources appropriées aux acteurs auxquels des responsabilités ont été confiées pour la gestion des risques systémiques ; et (3) promouvoir une culture du risque saine.

Plus précisément, le Code met l’accent sur des définitions claires des responsabilités, ainsi que sur l’allocation des ressources, à différents niveaux au sein de l’organisation :

  • Supervision des risques : Superviser les activités d’évaluation et d’atténuation des risques de l’organisation.
  • Responsabilité des risques : Gérer les risques systémiques découlant des GPAISRs.
  • Soutien et suivi : Soutenir et suivre l’évaluation et l’atténuation des risques.
  • Assurance : Fournir une assurance interne (et externe, si nécessaire) quant à l’adéquation des activités liées à l’évaluation et à l’atténuation des risques.

Les responsabilités sont attribuées à :

  • Organes de gestion de la supervision
  • Équipes de direction
  • Équipes opérationnelles
  • Fournisseurs d’assurance, qu’ils soient internes ou externes

Allocation des ressources

En outre, l’organisation doit allouer des ressources aux personnes assumant des responsabilités de gestion, notamment :

  • Ressources humaines
  • Ressources financières
  • Accès à l’information et aux connaissances
  • Ressources de calcul

Promouvoir une approche mesurée et équilibrée

La manière dont la direction se conduit est également cruciale. Les signataires doivent promouvoir une culture du risque saine et prendre des mesures pour s’assurer que les acteurs auxquels des responsabilités ont été confiées pour la gestion des risques systémiques découlant des GPAISRs (conformément à la mesure II.10.1) adoptent une approche mesurée et équilibrée des risques systémiques, sans être excessivement enclins à la prise de risques, ni ignorer les risques, ni être réfractaires aux risques, en fonction du niveau de risque systémique découlant des GPAISRs des signataires.

Les objectifs ultimes à atteindre comprennent un environnement de travail avec une communication ouverte et des incitations judicieuses :

  • Donner le ton en ce qui concerne une culture du risque systémique saine depuis le sommet ;
  • Permettre une communication efficace et la contestation des décisions concernant le risque systémique ;
  • Des incitations appropriées pour décourager une prise de risque systémique excessive, telles que des récompenses pour un comportement prudent et le signalement interne des risques systémiques ;

Idéalement, ces efforts devraient amener le personnel à se sentir à l’aise pour communiquer les problèmes potentiels liés à son travail :

  • Des enquêtes anonymes révèlent que le personnel connaît les canaux de signalement, se sent à l’aise pour soulever des préoccupations concernant les risques systémiques, comprend le cadre du signataire et se sent à l’aise pour s’exprimer ; ou
  • Les canaux de signalement internes sont activement utilisés et les signalements font l’objet d’un suivi approprié.

Quelles sont les exigences essentielles pour signaler et traiter les incidents graves impliquant les GPAISR ?

Alors que la loi européenne sur l’IA approche de son entrée en vigueur, l’attention se porte sur le signalement des incidents liés aux modèles d’IA à Usage Général présentant un Risque Systémique (GPAISR). Voici un aperçu des principales exigences, tirées directement de la dernière version du Code de conduite sur l’IA :

Suivi complet des incidents

Les fournisseurs de GPAISR doivent mettre en place des processus robustes pour suivre, documenter et signaler les incidents graves à l’Office de l’IA (et potentiellement aux autorités nationales) sans délai indu. Ces processus doivent disposer de ressources suffisantes, proportionnelles à la gravité de l’incident et à l’implication de leur modèle. Les méthodes d’identification des incidents graves doivent être alignées sur leurs modèles économiques.

Données essentielles à signaler

La documentation doit comprendre les détails pertinents, notamment :

  • Dates de début et de fin (ou les meilleures approximations)
  • Préjudices résultants et parties concernées
  • La chaîne d’événements ayant conduit à l’incident
  • La version spécifique du modèle impliqué
  • Description de l’implication du GPAISR
  • Réponses prévues ou mises en œuvre
  • Recommandations à l’intention de l’Office de l’IA et des autorités nationales
  • Une analyse des causes profondes, détaillant les résultats et les facteurs contributifs
  • Tout quasi-accident connu

Délais d’escalade et de notification

Le Code spécifie des délais stricts pour signaler les incidents en fonction de leur gravité :

  • Perturbation des infrastructures critiques : Notification immédiate, au plus tard dans les 2 jours
  • Préjudice physique grave : Notification immédiate, au plus tard dans les 10 jours
  • Atteintes aux droits fondamentaux, dommages matériels/environnementaux : Notification immédiate, au plus tard dans les 15 jours
  • Incidents de cybersécurité, exfiltration de modèle : Notification immédiate, au plus tard dans les 5 jours

Les rapports initiaux doivent couvrir les informations essentielles. Des rapports intermédiaires, détaillant les progrès toutes les 4 semaines jusqu’à la résolution, sont requis. Un rapport final et complet doit être remis au plus tard 60 jours après la résolution de l’incident. Les entreprises doivent également décider si elles soumettent des rapports individuels ou des rapports consolidés lorsque plusieurs incidents se produisent.

Documentation proactive et conservation

Conserver une documentation méticuleuse de toutes les données pertinentes pendant au moins 36 mois à compter de la date de la documentation ou de la date du signalement de l’incident grave impliquant le modèle d’IA à usage général, la date la plus tardive étant retenue.

Mesures correctives

Les signataires sont censés avoir des processus de résolution et de communication clairement définis et modulables. Ceux-ci doivent être en mesure d’appliquer les mesures techniques nécessaires d’atténuation des risques lorsque des incidents liés aux GPAISR se produisent – ou sont prévus.

En bref, la transparence et la documentation sont essentielles. Ces mesures visent à instaurer une responsabilité en matière de risques systémiques, tout en favorisant les collaborations entre les parties prenantes pour la gouvernance des GPAISR.

Quelles sont les obligations concernant la protection contre les représailles pour les travailleurs et comment les en informer ?

L’AI Act met l’accent sur la protection contre les représailles pour les travailleurs qui signalent des risques systémiques potentiels associés aux modèles d’IA à usage général qui peuvent être classés comme présentant un risque systémique (GPAISRs).

Obligations essentielles

Les signataires du Code de bonnes pratiques en matière d’IA à usage général s’engagent à ce qui suit :

  • Absence de représailles : S’abstenir de toute action de représailles à l’encontre des travailleurs qui fournissent des informations concernant les risques systémiques découlant des GPAISRs de l’entreprise. Cela s’applique si les informations sont partagées avec le Bureau de l’IA ou les autorités nationales compétentes.
  • Notification annuelle : Informer les travailleurs au moins une fois par an de l’existence d’une boîte aux lettres du Bureau de l’IA (s’il en existe une) désignée pour recevoir des informations relatives aux risques systémiques.

Considérations importantes

Le respect des engagements de non-représailles ne doit pas être interprété comme remplaçant le droit de l’Union en matière de droit d’auteur et de droits voisins. Dans les cas de modèles d’IA à usage général présentant un risque systémique (GPAISRs), il est très important de promouvoir une analyse plus approfondie avec le Bureau de l’IA.

Cet engagement vise à favoriser la transparence et la responsabilité en garantissant que les personnes au sein des organisations peuvent soulever des préoccupations concernant la sécurité de l’IA sans crainte de représailles.

french

Quels sont les aspects cruciaux qui doivent être détaillés par le modèle au bureau de l’IA pour que le modèle réponde aux exigences du Code ?

Pour que les modèles d’IA répondent aux exigences du Code, les fournisseurs doivent fournir au bureau de l’IA des détails complets. Ceux-ci comprennent :

Transparence et documentation

Les signataires doivent fournir une documentation de modèle conviviale, en utilisant potentiellement un formulaire de documentation de modèle. Ceci comprend:

  • Informations générales sur le modèle (par exemple, nom du modèle, version, date de publication)
  • Détails sur les propriétés du modèle (architecture, modalités d’entrée/sortie, taille)
  • Informations sur les canaux de distribution et les licences
  • Politiques d’utilisation acceptable et utilisations prévues
  • Spécifications pour les processus de formation et les données utilisées (y compris les mesures pour détecter le contenu et les biais nuisibles).
  • Ressources informatiques utilisées pendant la formation.
  • Informations supplémentaires pour les modèles d’IA à usage général présentant un risque systémique, telles que les stratégies d’évaluation, les résultats des tests adverses et les détails de l’architecture du système.

Les informations doivent être soumises de manière proactive pour les fournisseurs d’IA en aval, mais uniquement sur demande pour le bureau de l’IA et les autorités nationales compétentes, garantissant une base juridique et une nécessité appropriées.

Toutes les données partagées nécessitent un respect rigoureux des obligations de confidentialité et des protections des secrets commerciaux, comme souligné à l’article 78.

Gestion des risques systémiques (applicable aux GPAISR)

Pour les modèles considérés comme présentant un risque systémique, un cadre complet de sûreté et de sécurité doit être présenté, détaillant :

  • Critères d’acceptation des risques systémiques, y compris les niveaux de risque définis par des caractéristiques mesurables (capacités du modèle, propensions, résultats néfastes).
  • Évaluations détaillées des risques systémiques tout au long du cycle de vie du modèle.
  • Mesures techniques et de gouvernance d’atténuation des risques.
  • Évaluations périodiques de l’adéquation du cadre pour évaluer l’efficacité et s’améliorer au fil du temps.
  • Rapports de modèles de sûreté et de sécurité : documentant l’évaluation des risques, les résultats de l’atténuation et la prise de décision. Les détails du rapport de modèle doivent justifier les décisions de publier le modèle.

Signalement des incidents graves

Établir des processus complets pour :

  • Suivre et documenter les informations pertinentes sur les incidents graves, couvrant des aspects tels que les dates de début/fin des incidents, l’analyse des causes profondes et les mesures correctives.
  • Signaler à l’Office européen de l’IA sans retard injustifié, avec des délais sensibles à la gravité de l’incident.

Transparence des processus

Le modèle doit fournir :

  • Une description de la prise de décision (externe ou interne).
  • Qualifications, niveaux d’accès et ressources pour les équipes d’évaluation des modèles internes et externes.
  • Collaboration avec d’autres parties prenantes dans la chaîne de valeur de l’IA.
  • Protection adéquate et sans représailles pour les travailleurs fournissant des commentaires au bureau de l’IA

Autres aspects de la conformité

En outre, plusieurs exigences de notification clés doivent être respectées pour garantir que le bureau de l’IA dispose d’informations adéquates sur les modèles développés par l’entreprise :

  • Notification proactive des modèles éligibles, même s’ils sont destinés à un usage interne.
  • Mises à jour régulières sur les changements de cadre et les évaluations indépendantes.
  • Transparence en ce qui concerne le partage d’outils de sécurité et de meilleures pratiques avec la communauté IA au sens large.

Les fournisseurs doivent allouer des ressources appropriées à la gestion des risques systémiques. Cela comprend la garantie d’une culture du risque saine avec des responsabilités claires dans toute l’organisation.

Ces obligations sont complétées par la mise en œuvre des mesures figurant dans la section Transparence, droit d’auteur ou sûreté et sécurité dans des documents d’accompagnement distincts du code.

Quels sont les processus définis pour les mises à jour régulières et urgentes du Code ?

Le Code de conduite proposé pour l’IA à usage général reconnaît la nécessité d’agilité dans la gouvernance de l’IA. Alors que la technologie de l’IA continue d’évoluer, le document décrit les mécanismes de révision régulière, d’adaptation et même de mises à jour d’urgence du Code. Cela garantit que ses dispositions restent proportionnées aux risques évalués et technologiquement pertinentes.

Examen et adaptation réguliers

Le Code propose un cycle d’examen régulier, tous les deux ans. Ce processus approfondi, qui sera encouragé par le Bureau de l’IA, permet une révision complète du code. Cet examen est conçu pour être adaptable aux meilleures pratiques actuelles en matière d’IA, aux approches internationales et aux normes industrielles en développement.

Après chaque examen, le Bureau de l’IA confirmera l’adéquation du Code pour les Signataires.

Soutien continu à la mise en œuvre

Reconnaissant l’importance d’une clarification continue, le document prévoit un espace pour un soutien continu à la mise en œuvre via les orientations du Bureau de l’IA. Comme indiqué dans le Préambule du Code, ces orientations garantissent la cohérence entre les protocoles existants, les pratiques du monde réel et les dispositions de l’article 96, AI Act.

Mises à jour d’urgence

De manière significative, la documentation fait allusion à des mécanismes pour les mises à jour d’urgence du code. Déclenchées par « une menace imminente de préjudice irréversible à grande échelle », ces mises à jour seraient publiées rapidement pour atténuer les effets négatifs.
En plus de toutes les étapes et exigences décrites ci-dessus, il est recommandé que :

  • Les mises à jour d’urgence soient soumises à un examen par le Bureau de l’IA pour confirmer la prévention de tout préjudice irréversible à grande échelle.
  • Le Bureau de l’IA sollicite activement l’avis des parties prenantes sur le mécanisme de ces mises à jour et des suggestions concernant les forums appropriés pour la promulgation des mises à jour d’urgence du Code.
En fin de compte, ce cadre vise à traduire des principes de haut niveau en actions concrètes pour les développeurs d’IA. En accordant la priorité à la transparence, aux considérations éthiques et à des mesures de sécurité robustes, cette initiative vise à favoriser une innovation responsable dans le paysage en évolution rapide de l’IA à usage général. Pour l’avenir, le succès dépendra d’une surveillance vigilante, d’une adaptation collaborative et d’un engagement à protéger les droits fondamentaux tout en exploitant le potentiel transformateur de ces technologies puissantes.

Articles

A glass wall

Transparence de l’IA : un enjeu crucial pour l’Europe

avril 19, 2025 AI Ethics,IA,Regulation IA,Transparence IA
L'UE risque de compromettre des principes longtemps respectés en simplifiant les règles pour les entreprises locales. La transparence ne doit pas être considérée comme un obstacle, mais comme un...
Read More
A robot

L’IA face à la loi : défis et perspectives

avril 19, 2025 IA
L'intelligence artificielle devient rapidement une partie intégrante de la vie quotidienne. Cependant, alors que la technologie explose, le débat s'intensifie sur la manière de l'exploiter...
Read More
A tangled network of wires

Défis et Perspectives du Règlement sur l’IA en Europe

avril 19, 2025 Conformité IA UE,Conformité UE IA,IA,Régulation IA EU
La loi sur l'IA de l'UE vise à garantir que les systèmes d'IA utilisés en Europe sont sûrs, équitables et respectent les droits des personnes. Cependant, de nombreuses entreprises, en particulier les...
Read More
A tangled network of wires

Défis et Perspectives du Règlement sur l’IA en Europe

avril 19, 2025 Conformité IA UE,IA,Regulation IA,Régulation IA EU
La loi sur l'IA de l'UE vise à garantir que les systèmes d'IA utilisés en Europe sont sûrs, équitables et respectent les droits des personnes. Cependant, de nombreuses entreprises, en particulier les...
Read More
A shattered mirror

Réglementation britannique sur l’IA : Risques de biais et retours limités pour les créateurs

avril 19, 2025 Conformité des droits IA,IA,Impact of AI Regulation on Innovation,Régulation de la propriété intellectuelle IA
Des experts en politique avertissent que l'interdiction faite aux entreprises comme OpenAI, Google et Meta d'entraîner des IA sur des matériaux protégés par le droit d'auteur au Royaume-Uni pourrait...
Read More
A lock and key

Révision des règles de l’UE sur les modèles d’IA à usage général face à DeepSeek

avril 19, 2025 Conformité UE IA,IA,Regulation IA,Régulation IA EU
L'émergence de l'application d'IA chinoise DeepSeek pousse les décideurs de l'UE à envisager des modifications de la loi sur l'IA de l'UE. Cela pourrait avoir des implications sur la réglementation...
Read More
A bridge

Réglementation de l’IA : entre innovation et sécurité

avril 19, 2025 IA
Le développement de l'IA présente des risques en raison des limites éthiques des outils modernes d'IA par rapport aux cadres juridiques existants. Les approches réglementaires varient considérablement...
Read More
A data pipeline model

L’ingénierie des données : catalyseur d’une IA responsable et évolutive

avril 19, 2025 AI Ethics,Conformité des pratiques IA,IA,Régulation technologique IA
L'article discute de l'importance de l'ingénierie des données dans l'adoption de l'IA responsable à grande échelle. Il présente un modèle de collaboration pour que les équipes d'ingénierie des données...
Read More
A pair of handcuffs

Responsabilités et risques de l’IA : enjeux juridiques à l’horizon

avril 19, 2025 AI Ethics,Conformité légale IA,IA,Regulation IA
L'intelligence artificielle (IA) est de plus en plus omniprésente dans les affaires et la vie sociale, mais son utilisation croissante entraîne également des risques significatifs. Les préoccupations...
Read More